Explorer und Windows (alle aktuellen Versionen) haben 4 kritische Löcher
[12.11.2015] Mit dem November-Patch-Day stopft Microsoft
4 als kritisch eingestufte Löcher im unseligen Internet Explorer und
7 in allen, aktuellen Windows-Versionen (incl. Windows 10). Betroffen sind auch weitere Windows-
Programme/Funktionen (Skype, Kerberos, Schannel, IPSec and NDIS) gemäss Bulletin MS15-112.
So kann z.B. das blosse Anschauen von Webseiten mit bestimmten Schriftarten
dem Angreifer erlauben, Ihren PC zu übernehmen!
Excel, Word, Exchange, DNS und IE sind eine Gefahr!
[13.5.2007] Diesmal haben die Hacker in den Office-Produkten
zugeschlagen. Ausserdem sind auch Exchange, Internet Explorer und der DNS -
Server betroffen. Alle diese Fehler werden von Microsoft als kritisch eingestuft.
Damit sind einige Patches einzuspielen.
Drücken Sie Hilfe - und Ihr System ist gehackt!
[8.8.2006] Wieder einmal hat ein Buffer Overflow ein
Sicherheitsloch aufgemacht: Eine entsprechend gemachte Webseite kann
dieses Loch benutzen, um die komplette Kontrolle über das System zu
erhalten. Es genügt, die Hilfe aufzurufen. Betroffen sind die
Windows-Versionen von Windows Server 2003, Windows XP und Windows 2000,
auch mit den aktuellen ServicePaks. Flicken dazu finden Sie unter dem Link oben.
Sind Bankomaten (ATM) sicher?
[7.7.2006] Mindestens waren Sie dies einmal. Jahrelang
funktionierten die Bankomaten unter OS/2 und es wurde nie eine Schwäche
bekannt. Seit diese Systeme vermehrt auf Windows umgestellt werden,
werden zunehmend Verletzlichkeiten bekannt. Lesen Sie mehr dazu im
folgenden Artikel (auf Englisch). Interessant ist die Aussage im 7.
Abschnitt, gemacht von der Verantwortlichen für 107'000 ATMs, Sandra Jones von
der MAX Federal Credit Union: "When MAX moved from the OS/2 operating
system to the advanced technology of Windows, we quickly realized
that the system required closer management than our previous systems".
Die Betreuung der neuen Systeme ist wesentlich aufwendiger, als diejenige
der alten. Ist das "advanced technology?"
Lücke im Exchange Server 2000 und 2003
[12.5.2006] Wer glaubt, dass ein Kalender ohne Gefahren ist,
der irrt. Ueber die iCal-Schnittstelle kann ein Angreifer durch den
Versand einer speziell geformten eMail mit iCal/vCal Eintrag die vollständige
Kontrolle über das System erlangen. Es wird empfohlen, die aktuellen Flicken
einzuspielen.
Internet Explorer wieder eine Gefahr!
[24.3.2006] Im Internet wurde Code veröffentlicht, der
es erlaubt, das System nach dem Besuch einer Website zu übernehmen.
Da der Code im Internet publiziert wurde, ist damit zu rechnen,
dass viele Seiten versuchen werden, dies auszunützen. Unser Rat:
vergessen Sie den IE, die Löcher haben kein Ende!
Vorsicht vor dem 3.2.2006 - der Wurm W32/Small.Kl@mm lauert!
[31.1.2006] Der Wurm Small.Kl@mm kommt via eMail und verbreitet
sich dann übers interne Netzwerk weiter. Er hat eine gefährliche Eigenart:
Er löscht alle Dokumente (.doc, .xls, .ppt, .mdb, .pdf etc.) und tut dies
auch auf den Netzwerkfreigaben. So wird man rasch alle seine Texte, Tabellen,
Access-Datenbanken usw. los! Sichern Sie Ihre Daten auf ein externes Medium
wie Tape und CD-ROM. Ausserdem sollte das Antivirenprogramm aktuell sein
(neuer als 28.1.2006). Auf der Platte nistet sich der Wurm als
scanregw.exe und rundll16.exe (Hidden Datei) ein. Falls Sie mit dem Befehl
dir \scanregw.exe /s diese Datei finden, haben Sie den Wurm! Ausserdem
schaltet er diverse Antivirenprogramme aus.
MicroSoft hielt Loch für ungefährlich - die Hacker freuten sich
[4.12.2005] Ein Loch wurde von MicroSoft als undramatisch
eingestuft. Man glaubte, nur der Internet Explorer gelange zum Absturz.
Nun wird klar, das Loch ist weit gefährlicher: Schon der Besuch einer
Website infisziert den Computer! Ein Patch steht immer noch aus, lediglich
Windows 2003 Server ist sicher, falls Active Scripting deaktiviert ist.
Es bleibt wohl wirklich nur der Umstieg auf einen sicheren Browser, IE MUSS
man schlicht vergessen.
TrendMicro warnt vor MYTOB.MX
[24.11.2005] Der Wurm aus der MYTOB-Familie kommt via
e-Mail daher und verbreitet sich mit einer Auswahl von Texten wie
"MEMBERS SUPPORT" und "You have successfully updated your password".
Wenn man auf den Anhang klickt, wird der Wurm installiert als syst.exe.
SOBER.AG stammt nicht vom FBI
[21.11.2005] Wenn Sie unerwartet Post vom FBI
bekommen, stammt die Nachricht eher vom Wurm SOBER.AB. Im Anhang
File-packed_dataInfo.exe steckt die ungesunde Fracht.
w32.Sober.Q auch bei uns in der Schweiz aktiv
[7.10.2005] Diese Variante von Sober kommt als
Klassenfoto.zip daher und wird nur mit den neuesten Antiviren Signaturen
vom 6.10.2005 erkannt.
Geben Sie in einem Befehlsfenster folgenden Befehl ein: [dir c:\services.exe /s].
Wenn die Datei auch IM VERZEICHNIS \Windows\ConnectionStatus\services.exe gefunden wird,
(in den Verzeichnissen \Windows\System32 und \Windows\System32\dllcache ist
sie normal) und ein Datum ab 6.10.2005 hat, dann ist Ihr Sytem befallen.
Heise hat eine Anleitung, wie man das Ding wieder los wird. Löschen Sie
im abgesicherten Modus im Verzeichnis C:\Windows\ConnectionStatus die
Dateien serverice.exe und netslot.nst. Ausserdem im Verzeichnis C:\Windows\System32
die Dateien bbvmwxxf.hml, gdfjgthv.cvq, nonrunso.ber, rubezahl.rub und sepplemx.smx.
Neue Variante des Wurms Sober_AC kommt per e-Mail
[6.10.2005] Die neue Variante kommt als Anhang per
e-Mail. Wenn man den Anhang aufmacht, erscheint eine Fehlermeldung und
er installiert er ein paar
Datein. Damit wird der PC zur eigenen Mailschleuder mit SMTP.
Diese Funktion belastet auch die Bandbreite und Sie bemerken eine
Verlangsamung des Internetzugriffs. Seine Meldungen sind teilweise
auch in Deutsch!
Update zu Rollup1 für Windows 2000 SP4
[19.9.2005] Das Rollup1 für Windows 2000 fasst alle
Sicherheitsrelevanten Patches zusammen und ist so etwas wie der Ersatz
des ServicePak5 (das es nicht mehr geben wird). Die erste Version führte
(wie wir bereits erwähnten) auf gewissen Systemen zu Problemen. So
konnten einige Systeme nach der Installation nicht mehr booten (Stop
0x000001E), MS Officeprogramme konnten nicht mehr auf Disketten schreiben,
Systeme hatten zwei Systemlaufwerke, Citrix-Server waren nicht mehr erreichbar,
etc. Nun liegt die Version 2 vor, die alle diese Probleme beheben soll.
Wir haben es kurz getestet und es hat bei uns funktioniert.
Trotzdem ist eine Sicherung der Daten vor der Installation dringend zu
empfehlen. Leider ist auch hier wieder der unsinnige Zwang vorhanden, den Patch auf
einem Windows 2000 System herunterzuladen und einen Test über sich ergehen
zu lassen, der ActiveX benötigt. Wir haben es hier in der Deutschen Version
heruntergeladen, damit Sie auch mit Firefox usw. die Datei erhalten können.
Benutzen Sie den Link, um direkt bei der Microsoft den Patch auch in anderen Sprachen
zu erhalten oder um mehr Informationen zu den korrigierten Fehlern zu
erhalten.
Erfreulich: Die Besucher unserer Website zeigen sich sicherheitsbewusst, über
50% arbeiten mit Firefox/Mozilla!
Phisher versuchen vom Hurrikan Katrina zu profitieren!
[12.9.2005] Skrupellose "Phisher" versuchen sogar vom
Unglück des Hurrikans Katrina zu profitieren.
Mit e-Mails werden die Opfer auf echt aussehende Seiten von caritativen
Organisationen gelockt. Dort versucht man nicht nur eine Spende zu ergaunern,
sondern gleich noch die Kontodaten des unaufmerksamen Benutzers zu erhalten.
So lassen sich ausser der abgezweigten Spende noch weitere "Bezüge" einfädeln.
Achten Sie deshalb auf Phishing Attacken. Ein Hilfsmittel ist ein Plugin
für den Firefox: Es sperrt bekannte Phishing Sites und zeigt an, ob eine
bekannte NewYorker Seite z.B. aus China stammt.
(s. Firefox-Menu: Tools --> Extensions --> Get More Extensions -->
Privacy and Security -- > FraudEliminator 2.3.4, nur für Windows).
Auch das amerikanische Parlament ist nicht sicher vor Zotob
[16.8.2005] Der Wurm Zotob ist für Windows 2000 gefährlich.
Er holt sich den schädlichen Code von einem befallenen System über irgend
einen Port. Dann versucht er, sich weiter zu verbreiten.
Seine Opfer findet er über den Port 445 (Microsoft DS).
Ursache ist ein
Buffer Overflow in der Plug + Play Komponente ausschliesslich von Windows 2000.
(So war Plug + Play eigentlich nicht gedacht). Wer den Patch von
MS06-039 bereits installiert hat, ist sicher. Bei Befall kann der Angreifer
beliebigen Code ausführen.
Internet Explorer hat wieder gefährliche Löcher
[9.8.2005] Microsoft stellt Patches für Windows und
den Internet Explorer zur Verfügung. Da so ein Angreifer das Opfer auf
eine Webseite mit bösartigem Code locken und anschliessend die Kontrolle
über das ganze System erlangen kann, wird der Patch als sehr wichtig
eingestuft. Leider muss zur Installation der Internet Explorer benutzt
werden. Es ist nicht gerade sinnvoll, die Benutzer zum Verwenden des
unsichersten Browsers zu zwingen! Verwenden Sie sonst möglichst Firefox
oder Opera.
Bilder gefärden Windows 2000 Sp4 und XP Sp1 und Sp2
[12.7.2005] Das Color-Management der Windows-Systeme
kann missbraucht werden mit präparierten Bildern auf Webseiten und in
e-Mails. Der Angreifer kann so die Kontrolle über das ganze System
erlangen. Es wird empfohlen, einen Patch einzuspielen (s. Link)
Word 2000 und XP, sowie Works sind eine Gefahr!
[12.7.2005] Via Word kann ein Angreifer beliebigen
Code ausführen. Falls ein Benutzer als Administrator auf einem
Windows System arbeitet, kann ein Angreifer via Word die totale
Kontrolle über das System erlangen. Lösung: OpenOffice verwenden
oder Patch einspielen (s. Link)
Com-Object in Internet Explorer öffnet Loch
[6.7.2005] Die Internet Explorer Versionen 5.01, 5.5 und 6.0
erlauben die Ausführung von beliebigem Code. Im Microsoft Advisory 903144
wird empfohlen, die Sicherheit im IE auf hoch zu stellen und Javaprxy.dll
zu deaktivieren. So wird vor jeder Ausführung von ActiveX gewarnt.
Security Rollup statt ServicePack 5 für Windows 2000
[2.7.2005] Die Zeiten von Windows 2000 gehen zu Ende!
Microsoft plant, den Support für Windows 2000 diesen Sommer einzustellen.
Damit wird wohl kein ServicePack 5 mehr erscheinen. Offen bleibt, was
Benutzer bei später entdeckten Exploits tun sollen (ausser einem Upgrade auf XP
oder Linux).
Das Security Rollup enthält alle Patches seit dem Erscheinen des ServicePack4
und kann in einem Rutsch und mit einem Reboot installiert werden.
ca. 40 Millionen Kreditkartennummern gestohlen
[18.6.2005] Bei der in Tucson ansässigen Firma CardSystems
Solutions Inc. konnten Hacker offenbar etwa 40 Millionen Kartenummern
klauen. Dabei scheinen auch etwa 6'000 Nummern von Schweizer Karten betroffen
zu sein. Laut 20 minuten sind dies Karten von Viseca und Swisscard. Es empfiehlt
sich, die Abrechnungen in nächster Zeit besonders genau zu kontrollieren.
TROJ_SMALL.AHE wird vom Wurm BOBAX.P nachgeladen
[5.6.2005] Der Wurm BOBAX.P verbreitet sich wiederum mit
einer eigenen, kleinen SMTP Engine. Die Mails versuchen den Benutzer
zum Oeffnen des Attachments zu bewegen. Dazu dienen Betreffzeilen
wie "Sadam Hussein - Attempted Escape, Shot dead" oder "Osama Bin Laden
Captured" und "Remember this?". Wird das Attachment aktiviert, wird der
Wurm automatisch nachgeladen und startet seine SMTP Engine. Achten Sie
auf aktuelle Antiviren Signaturen.
Neuer Wurm MYTOB.BI versendet sich per e-Mail
[1.6.2005] Laut Trendmicro treibt eine neue Variante von MYTOB
sein Unwesen auch in Belgien und Deutschland. Mit einer eigenen
SMTP-Engine versendet er sich als Anhang von 29'868 B an Adressen
auf dem befallenen System. Er hinterlässt eine Datei LIEN VAN DER KELDERRR.EXE
im Windows Systemordner. Er behauptet, dass der e-Mail Account gesperrt wird
und verlangt Angaben. Er öffnet einen Port und wartet auf fremde Befehle!
Wurm wurmark_j zeichnet Tastatureingaben auf
[12.5.2005] Trendmicro beschreibt einen neuen Wurm, der
die Eingaben der Tastatur aufzeichnet und so an vertrauliche Informationen
gelangen kann (z.B. Benutzerkennungen und Passwort). Die Verbreitung ist
momentan noch klein, das Schadenspotential ist jedoch gross. Aktuelle Updates der
Antiviren Software sollten das Ding im Griff haben.
Das Auffinden gestaltet sich schwierig, da der Name der Dateien per
Zufall generiert wird.
Massen e-Mail vom Wurm Sober.O
[3.5.2005] Symantec meldet, dass eine neue Wurm-Variante namens
W32.sober.O die Menschheit mit Massenmails "beglückt". Er versendet sich von
befallenen Systemem an Adressen, die er in verschiedenen Dateien auf dem PC findet.
Die Texte sind deutsch und englisch:
# Ihr Passwort
# Mail-Fehler!
# Ihre E-Mail wurde verweigert
# Ich bin's, was zum lachen ;)
# Glueckwunsch: Ihr WM Ticket
# WM Ticket Verlosung
# WM-Ticket-Auslosung #
Fussball Fan's sollten also aufpassen. Auf dem System werden folgende
Dateien angelegt:
# csrss.exe
# packed1.sbr
# packed2.sbr
# packed3.sbr
# services.exe
# smss.exe
Dichten Sie neue Windows-Löcher ab
[2.5.2005] Auf der CERT-Datenbank sind Anleitungen zum
Abdichten neuer Löcher: 3 betreffen den Internet Explorer (DHTML,
URL Checker, Content Advisor), je eines den Mail Server Exchange,
den MSN Messenger (GIF) und den Windows TCP/IP Protocol Stack.
Alle erlauben dem Angreifer das Ausführen von beliebigen Programmen.
Neuer Wurm Nopir.B löscht MP3 Dateien
[24.4.2005] Ein neuer Wurm treibt sein Unwesen.
Er verteilt sich via Peer-to-Peer Netzwerke. Den Benutzer lockt er als
Crack für ein DVD-Kopierprogramm.
Wird ein System befallen,
sucht er alle MP3-Dateien und löscht sie. Ausserdem verhindert er, dass
die Systemsteuerung geöffnet werden kann und blockert auch den Task-Manager.
Wurm Netsky.P kommt via Browser
[22.4.2005] Die neue Variante von Netsky verbreitet
sich via HTML und befällt Systeme mit Internet Explorer 5.01 und 5.5.
Dabei benutzt er die automatische Ausführung von MIME-Typen.
Benutzer von Firefox, Mozilla und Opera sind nicht betroffen.
Sicherheitsupdate für Firexfox
[18.4.2005] Eine neue Version 1.0.3 des immer
beliebteren Browsers Firefox behebt 9 Fehler und schliesst Lücken.
Es wird empfohlen auf die neue Version umzusteigen, um weiterhin
von der grossen Sicherheit des Browsers zu profitieren.
Immer wichtiger ist die Unterstützung von CSS Version 2.0, die
der Firefox bereits beherrscht.
Mehr als 50'000 Geprellte mit Dialern
[9.4.2005] Die Bundesanwaltschaft Osnabrück ermittelt
gegen zwei Betrüger-Firmen "Liquid Inc." und "DYI Media Inc.", die mit
Dialer-Programmen tausende von Internet-Benutzern
betrogen haben. Dabei erreicht der Schaden jeweils zwischen etwa 200.- und
5'000.- Franken. Falls Sie davon betroffen sind, sollten Sie mit dem PC
zur Polizei gehen, ohne (!) das Programm zu löschen. Nur so kann der
Betrug bewiesen werden und Sie haben eine Chance, Ihr Geld zurück zu
bekommen. Auch in der Schweiz waren die Programme aktiv mit folgenden
906-Telefon-Nummern: 906-636465, 666935, 666937, 666938, 750046
c't hat Tests für Internet Explorer
[31.3.2005] Der Internet Explorer ist seit Jahren eines
der "beliebtesten" Einfallstore für Viren und Würmer. Der Heise Verlag
(publiziert unter anderem die Zeitschrift c't) hat auf seiner Website
verschiedene Tests für IE 5.x und 6.x bereitgestellt. Machen Sie die Tests
indem Sie jeweils auf [Test] klicken
oder - besser - wechseln Sie zu einem sichereren Browser der auch CSS 2
beherrscht: den Firefox.
Warnung vor Surf-Turbos
[28.3.2005] Wer will denn nicht noch schneller im Internet sein.
Hüten Sie sich jedoch vor falschen Beschleunigern! Verschiedene Websites bieten
Surf-Turbos zum Herunterladen an. Dabei werden alle Ihre Anfragen via einen
Proxy-Server umgeleitet. Das mag mit Hilfe eines Caches einen geringen Geschwindigkeitsvorteil
bringen, man muss sich aber bewusst sein, dass alle Ihre Anfragen von diesem
Proxy aufgezeichnet werden können. Dabei werden nicht nur Ihre "normalen" Surf-Gewohnheiten
erfasst, sonder auch gleich ein "vertrauenswürdiges" Zertifikat auf Ihrem PC
gespeichert. Wenn Sie nun eine verschlüsselte Anfrage starten, werden die Daten
zum Proxy verschlüsselt, beim Proxy aber (dank Zertifikat) wieder entschlüsselt und
vom Proxy neu verschlüsselt weitergereicht. Dabei ist es ein leichtes, Ihre
"geheimen" Daten aufzuzeichnen.
Neuer Mail-Wurm für Windows-Systeme
[21.3.2005] Der Wurm win32.Bagle.bb befällt Windows-Systeme und
sendet in rauhen Mengen Spam-Mails an die geplagten Benutzer. Er verbreite sich in
verschlüsselter Form und ist daher schwer zu entdecken. Er installiert sich als
winshost.exe und deaktiviert gemeinerweise Virenscanner und Software-Firewalls auf dem PC.
Dadurch ist das System ohne Schutz allen anderen Viren ausgeliefert. Wir empfehlen,
nicht auf Software-Firewalls unter Windows alleine zu vertrauen, sondern eine
externe Firewall (ohne Windows) einzusetzen.
SuSE Linux 9.3 ante portas
[11.3.2005] Traditionsgemäss ist etwa alle 6 Monate
ist eine neue Linux Version von SuSE/Novell zu erwarten. Scheinbar ist
es im April wieder soweit und es sollte die Version 9.3 kommen. Neben
der bereits etablierten 64-bit Version ist auch eine Vorabversion
von OpenOffice 2.0 enthalten. Auch VoIP ist mit von der Partie und Gimp 2.2.
Betont wird auch die Sicherheit mit aktuellem Kernel 2.6.11 und eingebauter
Firewall.
Virus legt beim Migros Genossenschaftsbund 2000 PC's lahm
[9.3.2005] Wie im Schweizer Fernsehen SF1 gestern berichtet wurde, schlug ein
Virus beim Migros Genossenschaftsbund zu. Dies geschah, obwohl mit Antiviren SW
und einem guten Patch-Management oft bis zu 4 Updates pro Tag verteilt wurden!
Neuer Wurm KELVIR.B im Anmarsch
[8.3.2005] Der Wurm KELVIR.B verbreitet sich
via MSN Netzwerk. Dabei wird eine Datei link.net/gallery10/omg.pif
verbreitet. Statt zum Lachen (lol! see it! u'll like it!) lädt das Programm
eine Datei SDBOT.AUI herunter. Damit versendet sich der Wurm an alle Kontakte
im MSN-Verzeichnis. Achten Sie auf aktuelle Antiviren-SW.
Neue Wurm FATSO.A ebenfalls im Anmarsch
[8.3.2005] Der Wurm FATSO.A verbreiten sich
via MSN Netzwerk und auch via eMule. Sonst
verhält er sich wie sein Kollege KELVIR.B: Infizierte Systeme
versenden den Wurm an alle Kontakte im MSN-Verzeichnis.
WEB-Statistiken als Hinweis auf Angriffe
[4.3.2005] Allfällige Veränderungen in der WEB-Statistik können
ein Hinweis auf Angriffe aus dem WEB sein. Gerade ein sprunghafter Anstieg
der Anzahl der Zugriffe wird oft durch flächendeckende Attacken mit
Roboter-Programmen verursacht. In einer WEB-Statistik kann dies leicht erkannt werden.
Serverstatus des WEB-Servers
[2.3.2005] Die Status-Seite eines Apache WEB-Servers zeigt die
momentane Belastung des Servers an. Damit kann leichter abgeschätzt werden,
ob die Anzahl paralleler Threads erhöht werden sollte.
